Samsung представила на MWC 2014 два новых продукта: Knox EMM и Knox Marketplace. Теперь внутри контейнера Knox, содержимое которого раньше было предустановленным и неизменным, можно загружать и устанавливать приложения.
Для MDM – в частности, размещения пула доступных для загрузки безопасных приложений – компании-заказчику предлагается облако. Samsung Knox – B2B продукт. Он призван обезопасить использование Android-устройств в корпоративных целях. В ОС создается «бронированный туалет» — изолированная безопасная среда.
Итого, в рамках концепции BYOD (bring your own device, юзай-де свой телефон на работе) – в смартфонах сотрудников компании появляется два пространства. Обычный персональный режим, где доступны селфи и игрушки, и безопасный режим — для использования устройства в корпоративных целях. Все данные и приложения каждого из режимов полностью изолированы друг от друга. Случайно скачанные в обычном режиме вирусики не получат доступ к корпоративным приложениям, а системному администратору компании не будут видны личные фоточки его коллег. При этом для перехода в безопасную среду — контейнер Knox (вероятнее всего – LXC) — и обратно не нужно перезагружать устройство.
Samsung Knox – это не только контейнер, но целый набор “политик” безопасности. Шесть условно выделяемых “слоев” защиты: ARM TrustZone (аппаратный уровень), безопасная загрузка, контроль целостности ядра, защита от вредоносных приложений, собственный Android framework и сам контейнер.
—Trusted (secure) boot — проверка, что образ ядра и все загрузчики получены из официального источника (их характеристики хранятся в Trust Zone).
—TIMA (TrustZone-based Kernel Integrity Measurement) контролирует целостность ядра на основе ARM Trust Zone. Если заменить ядро, устройство загрузится в обычном режиме, но TIMA запретит создание контейнера или вход в него – раз и навсегда. То есть даже если вернуть оригинальное ядро на место, контейнер будет недоступен.
—SE for Android (Security Enhancements for Android) – суть антивирус, защита от атак.
—Хранение данных в зашифрованном виде (On-Device DAR Encryption). Все содержимое памяти устройства и внешних SD-карт зашифровано по 256-битный алгоритму AES.
—Безопасная передача данных (DIT) — VPN для каждого приложения, до 5 одновременных подключений VPN.
—На сладкое — поддержка аутентификации смарт-карт, выпускаемых МинОбороны США, но нам до них дела нет.
Что безопасно, а что нет, кого и куда пускать по VPN – все это решает системный администратор компании. Или можно опереться на мнение Samsung по этому поводу, используя его сертификаты. Управлять контейнерами администратор может через облачные MDM или AD (active directory) на выбор. Доверенные приложения могут быть взяты от независимых разработчиков (определены Samsung и собраны в App Store внутри контейнера), а также выбраны администратором и помещены в облако. В частности, это могут быть корпоративные apps — есть способ внести их в Knox.
Из дополнительных полезностей можно назвать систему обнаружения украденных устройств и SSO – одна учетная запись для аутентификации во всех живущих в контейнере и облаке корпоративных приложений (вместо 100500 пар логин-пароль).
На сегодня Knox доступен на 9 устройствах Samsung: смартфонах Galaxy S4, S4 LTE-A, S4 mini, Round, Note 2 и 3, Mega 6.3, планшете Note 10.1 (2014) и, разумеется, на только что распакованном Galaxy S5. То есть в бюджете компании придется учесть не только поддержку Knox, но и стоимость новых смартфонов Galaxy, которые придется подарить всем сотрудникам.
